WeGIA — веб-менеджер благотворительных организаций. До версии 3.6.9 WeGIA (Web-геренсиадор для учреждений помощи) содержал уязвимость внедрения SQL в dao/memorando/DespachoDAO.php. Параметр id_memorando извлекается из $_REQUEST без проверки и напрямую интерполируется в запросы SQL, что позволяет любому аутентифицированному пользователю выполнять произвольные команды SQL в базе данных.
Эта уязвимость исправлена в версии 3.6.9.
Показать оригинальное описание (EN)
WeGIA is a Web manager for charitable institutions. Prior to 3.6.9, WeGIA (Web gerenciador para instituições assistenciais) contains a SQL injection vulnerability in dao/memorando/DespachoDAO.php. The id_memorando parameter is extracted from $_REQUEST without validation and directly interpolated into SQL queries, allowing any authenticated user to execute arbitrary SQL commands against the database. This vulnerability is fixed in 3.6.9.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wegia Wegia
cpe:2.3:a:wegia:wegia:*:*:*:*:*:*:*:*
|
— |
3.6.9
|